建立網絡安全系統的方法有哪些

　　最近有網友想建立一個網絡安全系統，但是不知道如何下手~所以學習啦小編在這里就提供一些相關方法給他。具體內容如下。

　　建立網絡安全系統方法一：

　　1、建立完善的網絡資源管理系統的意義1、是適應外部環境變化和加快市場反應速度的需要。如何盡快的響應市場和客戶的需求,提高對客戶的服務質量,并留住現有客戶和吸引新生客戶。這就需要利用網絡資源系統將網絡資源和客戶、業務相關聯起來,提供以客戶為中心的端到端應用,最終將電信運營商的網絡資源優勢轉化為競爭優勢,并最大限度的提升客戶價值,為企業獲取最大的經濟效益。

　　2、是實現企業資源優化配置的需要。為有效實現現代化企業的資源優化配置,企業迫切需要將原有的粗放式人工管理轉變以管理系統為核心的精確管理;迫切需要通過網絡資源管理系統的優化與建設,以合理的利用有限的建設資金、盤活現有各項資源,實現資源的優化配置;迫切需要依靠完善的網絡資源管理系統,來為企業可持續化發展提供準確的決策支持。

　　建立網絡安全系統方法二：

　　局域網

　　首先，要統一IP地址并綁定MAC;其次，要在硬件防火墻設置IP規則及策略;再者，每一臺電腦要安裝殺毒軟件并統一給員工進行培訓，服務器上關閉駭客常用端口，并安裝蜜罐系統。我們知道，駭客們攻擊網絡之前要進行踩點偵查，所以，為了迷惑駭客我們將IP進行隱藏。

　　為了防止駭客監聽網絡數據包，我們將數據包加密。經常更新漏洞是關鍵，最好每個月進行一次入侵檢測。

　　建立網絡安全系統方法三：

　　建立局域網共享了以后要關閉防火墻設置，檢查線路是否暢通，加入同一個計算機工作組，在網上鄰居的查看工作組計算機上要能看到彼此的計算機名。也可用開始菜單運行里的PING+IP的方式檢查連接是否有效。暢通后就可以玩局域網游戲了。但有時也會因WINDOWS的版本不同，出現鏈接不上的情況。

下面學習啦小編再給大家舉個如何創建一個安全的辦公網絡的例子吧。

　　辦公網絡指的就是為了更有效率地工作，在辦公室里面假設起公司內部的計算機服務系統，將每臺工作計算機通過網線(無線wifi)等有效連接，通過計算機服務器進行統一化管理，共享文件數據，以提高工作效率。

　　隨著信息技術的發展，對辦公網的要求也在變化。雖然辦公網絡實現了很大的便捷性，但是我們不得不考慮它的安全性。為了保證網絡上的信息安全，我們不得不在網絡的易用性與安全性之間尋找一個平衡點，在足夠安全的情況下，實現最大的易用性。

　　辦公網要實現的安全目標

　　針對辦公網絡既要滿足新辦公的需要又要保證信息技術安全的情況，辦公網絡主要實現三個安全目標：1、實現所有辦公終端都能訪問Web服務器，E-mail服務器，辦公自動化服務器;2、實現各部門辦公終端之間資料及打印服務的共享;3、部門之間互訪受到控制，使部分有需要的電腦能夠互通，其余的不能互通。

　　辦公組網方案設計

　　我準備采用VLAN和ACL技術組建辦公網。虛擬局域網(VLAN)將網絡從邏輯上劃分為一個個功能相對獨立的工作組，如果再加上虛擬局域網之間的訪問控制(ACL)和路由指向可以使一個個功能相對獨立的工作組變成可以受限互訪的不同安全區。以市場部和計財部兩個部門為例，方案拓撲圖如下(如圖1)。

　　1)在交換機上劃分三個VALN，將Web服務器、E-mail服務器和辦公自動化服務器劃為VLAN1，名稱為fuwu;計劃財務部為VLAN2，名稱為jicai;市場部為VLAN3，名稱為shichang。

　　2)路由器上用訪問控制列表和路由指向，控制網絡數據的流向實現辦公網的安全目標，從而使VLAN2和VALN3成為兩個安全區。

　　方案的總體規劃

　　現在以Cisco Catalyst 1900交換機、Cisco 2600路由器為例，寫出方案的詳細配置。

　　VLAN的規劃

　　(1)VLAN的工作模式：

　　我們采用靜態模式，針對交換機端口指定VLAN。

　　(2)ISL標簽：

　　ISL(Inter-Switch Link)是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議，通過在交換機直接相連的端口配置ISL封裝，即可跨越交換機進行整個網絡的VLAN分配和配置。我們在快速以太口0配置ISL標簽。

　　(3)VTP(VLAN Trunking Protocol)：它是一個在交換機之間同步及傳遞VLAN配置信息的協議。一個VTP Server上的配置將會傳遞給網絡中的所有交換機，VTP通過減少手工配置而支持較大規模的網絡。VTP有Server、client、transparent三種模式。我們的VTP設置：VTP的域名為switch，主交換機為Server模式，其他兩個交換機為client模式。

　　ACL的規劃

　　訪問控制列表(ACL)主要功能是限制通過路由器端口的報文。有基本訪問控制列表和擴展控制列表兩種。

　　我們采用擴展訪問列表，VLAN1應用擴展訪問列表的表號為101，VLAN2應用擴展訪問列表的表號為102，VLAN3應用擴展訪問列表的表號為103。

　　具體配置

　　電腦的配置

　　Web服務器的IP地址 10.168.1.2，網關(VLAN1對應的路由器端口)IP地址10.168.1.1 。

　　E-mail服務器的IP地址10.168.1.3，網關(VLAN1對應的路由器端口)IP地址10.168.1.1 。

　　辦公自動化服務器的IP地址10.168.1.4，網關(VLAN1對應的路由器端口)IP地址10.168.1.1 。

　　計財部辦公電腦1的IP地址10.168.2.2，網關(VLAN2對應的路由器端口)IP地址10.168.2.1。

　　計財部辦公電腦2的IP地址10.168.2.3，網關(VLAN2對應的路由器端口)IP地址10.168.2.1。

　　市場部辦公電腦1的IP地址10.168.3.2，網關(VLAN3對應的路由器端口)IP地址10.168.3.1。

　　市場部辦公電腦2的IP地址10.168.3.3，網關(VLAN3對應的路由器端口)IP地址10.168.3.1。

　　各網絡設備的配置

　　(1)主交換機：

　　配置VTP

　　vtp server

　　vtp domain switch

　　配置VLAN

　　VLAN 1 name fuwu

　　VLAN 2 name jicai

　　VLAN 3 name shichang

　　端口模式(指定端口所屬的VLAN)

　　VLAN 1 的端口

　　VLAN-membership static 1

　　VLAN 2 的端口

　　VLAN-membership static 2

　　VLAN 3 的端口

　　VLAN-membership static 3

　　在交換機互連口(交換機與交換機、交換機與路由器)配置trunk

　　trunk on

　　(2)市場部交換機

　　配置VTP

　　vtp client

　　vtp domain switch

　　端口模式(指定端口所屬的VLAN)

　　VLAN 1 的端口

　　VLAN-membership static 1

　　VLAN 2 的端口

　　VLAN-membership static 2

　　VLAN 3 的端口

　　VLAN-membership static 3

　　在交換機互連口(交換機與交換機、交換機與路由器)配置trunk

　　trunk on

　　(3)計財部交換機

　　配置VTP

　　vtp client

　　vtp domain swtich

　　端口模式(指定端口所屬的VLAN)

　　VLAN 1 的端口

　　VLAN-membership static 1

　　VLAN 2 的端口

　　VLAN-membership static 2

　　VLAN 3 的端口

　　VLAN-membership static 3

　　在交換機互連口(交換機與交換機、交換機與路由器)配置trunk

　　trunk on

　　(4)路由器

　　快速以太口0配置ISL標簽

　　為VLAN 1 配置ISL 標簽

　　router#config t

　　router#(config) int f0.1

　　router#(config-if) ip address 10.168.1.1 255.255.255.0

　　router#(config-if) encapsulation ISL 1

　　為VLAN 2 配置ISL 標簽

　　router#(config) int f0.2

　　router#(config-if) ip address 10.168.2.1 255.255.255.0

　　router#(config-if) encapsulation ISL 2

　　為VLAN 3 配置ISL 標簽

　　router#(config) int f0.3

　　router#(config-if) ip address 10.168.3.1 255.255.255.0

　　router#(config-if) encapsulation ISL 3

　　路由(靜態)：

　　ip route 10.168.1.0 255.255.255.0 FastEthernet0.1

　　ip route 10.168.2.0 255.255.255.0 FastEthernet0.2

　　ip route 10.168.3.0 255.255.255.0 FastEthernet0.3

　　說明，這三條靜態路由可以不加，路由器可以通過cdp功能獲取直通路由。

　　配置訪問列表，在路由器全局模式下配置基本和擴展訪問列表

　　router(config) access-list 101 permit ip host 10.168.1.2 any

　　router(config) access-list 101 permit ip host 10.168.1.3 any

　　router(config) access-list 101 permit ip host 10.168.1.4 any

　　router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255

　　router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255

　　router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255

　　router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255

　　把訪問列表指定到一個端口上

　　router(config)int f0.1

　　router(config-if)ip access-group 101 in

　　router(config)int f0.2

　　router(config-if)ip access-group 102 in

　　router(config)int f0.3

　　router(config-if)ip access-group 103 in

　　以上方案是基于Cisco Catalyst 1900的，如果交換機是Cisco Catalyst 2900，VLAN的配置命令略有不同。